Google y la Oficina Federal de Investigaciones de EE.UU. (FBI) advierten que un grupo de ransomware llamado Silent Ransom Group está intensificando sus ataques contra bufetes de abogados en EE.UU. Además de los correos de phishing y la ingeniería social habituales, en algunos casos el grupo envía personas que se hacen pasar por personal de soporte de TI para ingresar a las oficinas de las víctimas, acceder directamente a las computadoras y robar datos.
El ataque pasó de suplantación remota a contacto físico
Google旗下Mandiant y el Grupo de Inteligencia de Amenazas de Google indican en su último informe que, entre enero y mayo de este año, este grupo ha atacado a decenas de víctimas, utilizando tácticas que incluyen obtener acceso mediante "contacto físico y presencial".
El FBI también emitió una alerta el mes pasado indicando que la banda se hace pasar por personal de soporte de TI de empresas, guiando a los empleados para que cooperen mediante llamadas telefónicas, correos electrónicos y otros medios. En algunos casos, los impostores ingresan a las oficinas, conectan los dispositivos de los empleados y transfieren datos utilizando dispositivos de almacenamiento USB o herramientas de acceso remoto.
Los datos objetivo incluyen contratos, impuestos e información personal
Según lo revelado por Google y el FBI, la información robada incluye documentos contractuales, números de seguridad social y otra información de identidad personal, así como registros financieros y fiscales. Este tipo de datos luego se utilizó para extorsión.
A diferencia del ransomware tradicional, este tipo de ataque no siempre cifra los sistemas de las víctimas. El grupo suele primero robar datos y luego exigir un pago amenazando con hacerlos públicos.
- Hora del ataque: enero a mayo de 2026
- Objetivo principal: bufetes de abogados de EE. UU. y otras instituciones
- Técnicas comunes: suplantación de soporte de TI, compartir pantalla, robo mediante USB, toma de control remota
Robo tras establecer confianza bajo el pretexto de "problemas de seguridad"
Google indica que los atacantes suelen contactar a los empleados bajo el pretexto de manejar incidentes de seguridad o ayudar con la migración de datos empresariales, induciéndolos a unirse a sesiones de compartir pantalla. Luego, los atacantes convencen a las víctimas de descargar y abrir software de compartir pantalla, o aprovechan directamente las funciones integradas de aplicaciones como Zoom o Microsoft Teams para obtener control.
Google indica que estos casos muestran que algunos hackers están combinando ataques cibernéticos tradicionales con contacto físico en escenarios reales, lo que aumenta aún más la dificultad para que las empresas se protejan. Para las instituciones que dependen de soporte de TI externo y tienen procesos internos de verificación débiles, el riesgo de estos ataques de suplantación es particularmente notable.